《(1.24)--6.3IPsec计算机信息安全.ppt》由会员分享,可在线阅读,更多相关《(1.24)--6.3IPsec计算机信息安全.ppt(23页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、IPsecIPsec1学习目标理清IPSec的整体流程能画出IKE阶段一的数字签名方式的主模式能画出IKE阶段二的协商过程IPsec应用层传输层网络层数据链路层物理层SSL用户OSNICIPSecIPsecSSLIPSec复杂度简单相对复杂IP协议栈的层数嵌套字层网络层层次驻留在用户空间位于操作系统运行空间加密保护支持支持数据完整性保护支持支持身份认证支持支持IPsecIPSec协议Internet密钥交换协议,IKE(Internet Key Exchange)封装安全有效载荷和认证头,ESP(Encapsulating Security Payload)和AH(Authentication
2、 Header)IPsec建立所谓的IKE安全关联,也可以简称为IKE-SA。建立IPSec安全关联,或被简称为IPSec-SA。ESP/AHIPsec公开密钥加密(原始版本)公开密钥加密(改进版本)数字签名对称密钥在IKE协议的阶段一中,有4个不同的密钥选项:主模式(main mode)积极模式(aggressive mode)为什么在阶段一中会有公开密钥加密选项和数字签名选项?IPsec使用公开密钥加密方案的协议中需要Bob的公钥数字签名启动协议的协商过程在数字签名方式中启动协议过程查找Bob的公钥IPsecIKE阶段一:数字签名方式CP=crypto proposedCS=crypto
3、selectedIC=initiator cookieRC=responder cookieK=h(IC,RC,gabmodp,RA,RB)proofA=h(SKEYID,gamodp,gbmodp,IC,RC,CP,“Alice”)AliceSKEYID=h(RA,RB,gabmodp)IPsec数字签名版本的积极模式IPsecIKE阶段一:对称密钥方式CP=crypto proposedCS=crypto selectedIC=initiator cookieRC=responder cookieK=h(IC,RC,gabmodp,RA,RB,KAB)KAB=symmetric key s
4、hared in advanceproofA=h(SKEYID,gamodp,gbmodp,IC,RC,CP,Alice)SKEYID=h(K,gabmodp)IPsecIC=initiator cookieRC=responder cookie抗阻塞令牌令拒绝服务攻击更困难实现双向交互身份认证,并建立起共享的会话密钥,这就是所谓的IKE安全关联(IKE-SA)。IPsecIKE阶段二IPsecIPSec和IP数据报IP headerdataIP headerTCP hdrHTTP hdrapp dataIPsec运输和隧道方式IP headerdataIP headerESP/AHdataIPsecIPSec隧道方式IP headerdataNew IP hdrESP/AHIP headerdataIPsecIPsecIPsecIPsecIPsecIPsecThanks for your attention!